Les règles juridiques applicables à la géolocalisation 20/10/2015
Conditions de licéité du traitement Loyauté et licéité de la collecte Les données doivent être : collectées pour des finalités déterminées, explicites et légitimes ; Prohibition des traitements ultérieurs incompatibles avec ces finalités. adéquates, pertinentes et non excessives au regard des finalités et des traitements réalisés. Le développeur doit définir précisément le périmètre des données qui seront strictement nécessaires à la poursuite des finalités en amont de la conception de l application ; exactes, complètes et mises à jour (ce qui suppose l effectivité de l exercice des droits d accès, de rectification et de suppression des personnes auprès desquelles les données ont été collectées cf. infra) ; conservées sous une forme permettant l identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.. 2
Consentement cookies et consentement data Le développeur d une application doit recueillir: l accord de l utilisateur préalablement à l enregistrement d informations sur le terminal de l utilisateur ou à l accès d informations préalablement stockées le consentement de l utilisateur avant d effectuer un traitement de données personnelles Le message affiché par le système d exploitation lors de l installation d une application : peut permettre de recueillir l accord préalable pour les cookies et autres traceurs ne suffit pas pour obtenir le consentement de l internaute pour le traitement de données personnelles 3
Modalités de recueil du consentement Le consentement exprimé par l utilisateur doit : consister en un comportement actif Quid du simple renvoi aux CGU? De l activation par défaut du dispositif de géolocalisation? Des applications pré-embarquées? porter spécifiquement sur une ou plusieurs finalités déterminées être exprimé librement Pas de conséquence négative en cas de refus Donner son autorisation ou refuser d installer l application? résulter d une information claire et précise communiquée par le responsable de traitement ou son représentant concernant les caractéristiques essentielles du traitement (identité du responsable de traitement, nature des données collectées, finalités, ) 4
Les autres cas de licéité d un traitement de données En l absence de consentement, un traitement de données personnelles doit satisfaire à l une de ces conditions : - Respecter une obligation légale incombant au responsable de traitement - L'exécution d'un contrat signé La poursuite de la navigation sur une application ne vaut pas acceptation des conditions générales - La réalisation de l intérêt légitime poursuivi par le responsable de traitement La diffusion de publicités ciblées par un ecommerçant à ses clients et prospects n est pas un intérêt légitime suffisant, le consentement de l utilisateur est nécessaire. 5
L information par le responsable de traitement Sur quoi informer? - l identité du responsable de traitement - la finalité de traitement - le caractère obligatoire ou facultatif des réponses - les conséquences éventuelles d un défaut de réponse - les destinataires ou catégories de destinataires des données - les droits de l utilisateur - le cas échéant, les transferts de ces données envisagés à destination d un État non membre de l Union Européenne. - Bonne pratique : l activation du dispositif de géolocalisation du système d exploitation Informer avant le téléchargement de l application ou lors de son exécution. 6
Le respect des droits des personnes concernées Quels sont les droits dont bénéficient les personnes dont les données personnelles sont collectées (art. 38 et s. de la loi du 6 janvier 1978 modifiée relative à l informatique, aux fichiers et aux libertés)? Droit d accès Droit de rectification Droit de suppression Droit d opposition Préconisation du G29: Mettre en oeuvre un tableau de bord. Suppression des données de l utilisateur suite à la désinstallation d une application 7
Les sanctions Les mesures que la CNIL peut prendre : - Avertissements - Mise en demeure de faire cesser le manquement qui peut être rendue publique. - Interruption du traitement - Verrouillage de certaines données personnelles - Demande soumise à la juridiction compétente aux fins d ordonner toute mesure de sécurité nécessaire à la sauvegarde des droits et libertés - Sanctions pécuniaires pouvant atteindre 150 000 à 300 000 en cas de récidive Des sanctions pénales sont également prévues aux articles 226-16 à 226-24 du Code pénal. Exemples : - Non respect de l obligation de sécurité des fichiers : amende de 300 000 et 5 ans d emprisonnement. Sanctions identiques : non-accomplissement des formalités auprès de la CNIL, non respect de la durée de conservation des données, détournement de la finalité de traitement,... - Refus ou entrave au bon exercice des droits des personnes : 1500 par infraction constatée, 3000 en cas de récidive. 8
Le rôle central du développeur d applications Recueil de l accord de l utilisateur pour cookies et autres traceurs Collecte du consentement préalable pour le traitement des données personnelles de ses utilisateurs En charge des opérations de traitement réalisées dans le cadre de l externalisation de tâches confiées à des sous-traitants Les responsabilités de chaque acteur et leurs rôles dans le respect des obligations légales doivent être précisés dans un contrat 9
Acteur tiers Stores Systèmes d exploitation Acteurs tiers : Recueil de l accord préalable de l utilisateur pour l utilisation de traceurs Responsables/coresponsables du traitement des données collectées via le sdk. Magasins d applications : Garantie du respect par l éditeur des obligations d information Mécanisme de désinstallation des applications respectueux de la vie privée Systèmes d exploitation : Fourniture en amont d un dispositif permettant d informer l utilisateur au téléchargement de l application et de recueillir son consentement Mise à disposition des réglages permettant à l utilisateur de modifier les paramètres du traitement 10